Skip to main content
BlogSécuritéDigest de sécurité Linode du 3 au 9 juillet 2023

Digest de sécurité Linode du 3 au 9 juillet 2023

Digest de sécurité Linode

Dans le bulletin de cette semaine, nous discutons de deux vulnérabilités critiques dans Mastodon.

Avis de sécurité Mastodon

Contexte

Mastodon est un réseau social décentralisé gratuit, open source et largement utilisé, doté de fonctions de microblogging. Il est considéré comme une alternative open source et décentralisée à Twitter. Mastodon est géré par des nœuds indépendants hébergés par différentes entités sur des plateformes d'hébergement en nuage, notamment Linode.

Vulnérabilités

Mastodon a récemment publié ses nouvelles versions en début de semaine, qui corrigent de nombreuses vulnérabilités, y compris deux vulnérabilités critiques : CVE-2023-36460 et CVE-2023-36459.

CVE-2023-36460 : Création arbitraire de fichiers par le biais de pièces jointes

Cette vulnérabilité, répertoriée sous le nom de CVE-2023-36460 et décrite sous GHSA-9928, permet à un attaquant de créer et d'écraser des fichiers dans n'importe quel emplacement arbitraire auquel l'instance de Mastodon installée a accès.

Les versions vulnérables de Mastodon (à partir de la version 3.5.0 et avant les versions 3.5.9, 4.0.5, et 4.1.3) utilisent des entrées externes pour construire un nom de chemin sans assainir et neutraliser correctement les éléments spéciaux dans le nom de chemin. Cette entrée externe est destinée à identifier un fichier ou un répertoire situé sous un répertoire restreint. Cependant, elle n'est pas limitée ou neutralisée pour être résolue uniquement dans ce répertoire spécifié, ce qui permet d'accéder et d'écrire en dehors du répertoire restreint par le biais d'une exploration de répertoire. Un tel exploit peut avoir des conséquences dévastatrices allant du déni de service à l'exécution de code à distance sur le serveur Mastodon.

La vulnérabilité a un impact élevé et est classée comme ayant une gravité critique, car tout utilisateur qui peut poster sur un serveur Mastodon peut exploiter cette vulnérabilité. En outre, Mastodon est une plateforme de médias sociaux, et le nombre d'utilisateurs qui peuvent publier des messages et exécuter des exploits est très élevé.

CVE-2023-36459 : XSS à travers les cartes de prévisualisation de oEmbed

Cette vulnérabilité, répertoriée sous le nom de CVE-2023-36459 et décrite sous GHSA-ccm4, est une vulnérabilité de type Cross-Site Scripting (XSS) qui permet à un attaquant de créer des données oEmbed Mastodon afin d'inclure du HTML arbitraire dans les cartes de prévisualisation oEmbed, ce qui entraîne divers risques liés à l'interaction d'un utilisateur avec un site web dont le code source n'est pas fiable.

Les versions vulnérables de Mastodon (à partir de la version 1.3 et avant les versions 3.5.9, 4.0.5, et 4.1.3) permettent à un attaquant de contourner le processus d'assainissement HTML en utilisant des données oEmbed. Ces versions de Mastodon ne neutralisent pas correctement les données contrôlables par l'utilisateur dans les cartes de prévisualisation oEmbed avant qu'elles ne soient placées en sortie en tant que partie d'une page web servie à d'autres utilisateurs. Ainsi, un code HTML contrôlé par l'attaquant est servi aux utilisateurs. Cet exploit introduit un vecteur pour les charges utiles XSS qui, lorsqu'elles sont utilisées par un utilisateur, peuvent exécuter un code malveillant non fiable dans le navigateur et la machine de l'utilisateur.

La vulnérabilité a un impact élevé et une sévérité critique, car tout utilisateur qui peut créer des données oEmbed sur un serveur mastodonte peut exploiter cette vulnérabilité. De plus, tous les membres d'un serveur infecté sont susceptibles d'être attaqués.

Atténuation
  • Mettez à jour vos instances Mastodon hébergées vers les versions 4.1.3, 4.0.5, ou 3.5.9.
  • Assurez-vous que les serveurs Mastodon que vous visitez sont à jour avec la dernière version.

Note : Mastodon peut être hébergé sur Linodes via une installation manuelle et est également proposé en tant que application de place de marché en un clic. Cependant, ces instances ne sont pas gérées ou maintenues par Linode. Il incombe aux utilisateurs de Linode de comprendre les risques et de maintenir le logiciel installé à jour. Pour plus d'informations, consultez notre guide de déploiement de l'application Mastodon Marketplace.


Commentaires

Laissez un commentaire

Votre adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.